Empfehlungen "Best Practice", in welches VLAN gehört mein Smartphone?

Hallo an Alle im deutschen Ubiquiti Fanforum.

Im zarten Alter von 54 Jahren darf ich mich als der Neue Fan im Ubiquiti-Universe vorstellen.

Ich habe mir in den letzten drei Wochen eine Menge an Infos und Fachwissen eingeholt (Google, YouTube, Freunde, etc.) und mein UniFi-Netzwerk mit VLANs aufgebaut und eingerichtet.

Es hat sehr viel Spaß gemacht und funktioniert einwandfrei.

Die Firewall-Regeln habe ich fast zu 100% diesen Forum entnommen. Mir leuchted die Abschottung und Berechtigungssteuerung der VLANs untereinander ein, jedoch treibt mich die Frage um, in welches Heimnetz mit welchen Firewall-Regeln ich mein Smartphone (Galaxy S24 Ultra ohne Root) packen soll?

Ich nutze mein Samsung sowohl privat als auch beruflich. Also sind auch diverse Fotos und Dateien auf dem Gerät, welche über ein NAS (Synology) synchronisiert werden, damit sie auch auf Notebook (HP) und Desktop (Dell mit Win11) zur Verfügung stehen.

Insbesondere beruflich genieße ich den Segen der Sprachsteuerung, was Notizen/Erinnerungen und daraus folgenden Benachrichtigungen angeht. Wenn einer meiner lieben MA mal wieder ein Anliegen hat, quatsche ich mir dieses direkt über die Galaxy Smartwatch als Erinnerung auf's Smartphone. Vorbei sind endlich die Zeiten des mühsamen Aufschreibens oder Eintippens.

Ich hatte mich hier seinerzeit für Alexa von Amazon entschieden, welches ich auch mit EchoDot und Pop nutze. Die EchoDot und Pops liegen im IoT-VLAN, wie alle anderen IoT-Geräte auch.

Wenn ich mein Smartphon im IoT-Netz einbinde, kann ich zwar per Firewall Zugang zum Heimnetz (Desktop, Notebook) und zum Server-Netz (NAS) gewähren, aber was bringt mir dann eine Abschottung des IoT-LANs?

Zur Steuerung und Einrichtung von Alexa benötigt man die App auf'm Smartphone. Genauso für den Empfang von Benachrichtigungen für o. g. Notizen/Erinnerungen.

Wenn ich mein Smartphone ins heimnetz mit Desktop und Notebook packe, welchen Sinn macht dann die IoT-Abschottung mit den EchoDots und Pops oder umgekehrt.

Ich bin da ein wenig verunsichert und für jeden Rat von den erfahrenen Usern offen und dankbar, auch, wenn es Alternativen für die Sprachsteuerung hinsichtlich Erinnerungen/Notizen gibt.

Ich selbst bin gerade dabei, mit mich Samsung Knox oder einem separaten Arbeitsprofil auseinanderzusetzen, um ggf. beruflich/private Dateien und Fotos auszulagern, damit Apps wie Alexa und Co. fröhlich übers Smartphone mit dem Internet zwitschern können, aber ohne Zugriff auf vertrauliche Dateien.

ich hoffe, mein Anliegen ist einigermaßen klar geworden.

Beste Grüße

Heiko

Zitat von DoPe

Also prinzipiell ist da in der Frage eine Menge Philosophie drin

Ich würde erstmal schauen was mit was kommunizieren können muss - hast Du schonmal gemacht.

Dann würde ich schauen, was alles geöffnet werden müsste wenn Smartphone in Netz A oder Netz B wäre.

Was den Sinn der Abschottung angeht. Zum einen gibst Du nur Dinge für einzelne Geräte frei und niemals für das ganze Netz (Ausnahmen bestätigen die Regel). Du erlaubst nur dem Handy den Zugriff aus dem IOT-Netz auf einzelne Geräte im Heimnetz.

Dann sollte man natürlich auch darauf achten, welches Gerät eigentlich die Kommunikation auslöst und somit die Session startet. Man kann so den Verbindungsaufbau von A nach B erlauben, aber B darf nicht nach A einfach so eine Verbindung aufbauen. Das geht in der Firewall mit den Statis New (Verbindungsinitialisierung) und established/related (grob vereinfacht fallen die Antwortpakete darunter).

In Deinem konkreten Fall würde ich vermutlich das Smartphone ins IOT packen. So wie es aussieht kommuniziert das Smartphone nur mit dem NAS ( und das evtl. nichtmal direkt sondern über ein Synology Tool?!?). Deine PCs kommunizieren vermutlich im Heimnetz direkt mit dem NAS (SMB???). Dann könntest Du die kommunikation Smartphone -> NAS (evtl. sogar noch mit Porteingrenzungen des Sync Tools) erlauben. Und dem NAS erlaubt man nur dem Smartphone zu antworten.

Wenn Geräte kommunizieren sollen, muss man leider hier und da was erlauben. Es bleibt also auch fast immer ein Restrisiko.

Alles anzeigen

Danke für die schnelle Antwort.

Das mit dem Restrisiko ist OK (ist halt wie im wirklichen Leben auch ).

Der Smartphone-Sync findet ausschließlich über die Synology-Apps (Drive, Notizen, etc.) etc. statt, aber in beide Richtungen, um alles aktuell zu halten.

established/related habe ich bereits konfiguriert. StatisNew ist neu für mich (muss ich mir anschauen) Vielleicht kannst du ja noch mal Infos dazu geben .

Übers Wochenende werde ich mal versuchen, den Tipp unseres Firmen-EDV-Gurus umsetzen, und zwar wie folgt:

Mittels der Android-App Shelter ein Arbeitsprofil auf dem Smartphone einrichten.

In dem Arbeitsprofil alle Apps installieren, die keinen Zugriff auf spezielle Systeme benötigen (Alexa/Tools wie Kompass oder ähnliches).

Das Privatprofil kann auf das Arbeitsprofil zugreifen, wenn gewünscht.

Das Arbeitsprofil kann nicht aufs Privatprofil zugreifen.

Beide Profile sind im selben WLAN.

Alexa sollte jetzt aus dem Arbeitsprofil entsprechend funktionieren, da im selben WLAN oder Firewall-Zugriff UDM.

Alexa kann aber keine Daten aus dem Privatprofil übers das Arbeitsprofil an Amazon oder sonst wen zwitschern.

Er glaubt, das das funktioniert, weil Alexa nur als Bedingung dasselbe WLAN verlangt wie EchoDot und ähnl.

Was er nicht weiß, ob das Auswirkungen auf HomeAssistant hat. Testen werde ich mal, da es problemlos rückgägnig gemacht werden kann.

Nein, das Syncen findet findet erst statt wenn ich mich in einem bestimmten WLAN (Zuhause/Arbeit) befinde (SSID-Bindung). Die Synology-Apps sind für Fotos, Video, Datein, etc. DAVX nehme ich für Kalender, Kontakte und Aufgaben (Inbox). Im Email-Client Betterbird läüft dann der Sync über das AddOn TBSync.

Funktioniert alles einwandfrei und obwohl kein JustInTimeSync stattfindet, hatte ich bisher noch nie mit Datenverlust zu kämpfen.

Erwähnen sollte ich noch, dass sich die zwei NAS Arbeit und Zuhause gegenseitig über die Synologytools syncen.